Jak korzystać z popularnych dekryptorów?

0

W przypadku gdy klienci zgłoszą się z problemem dotyczącym złośliwego oprogramowania ransomware w zależności od jego typu trzeba będzie im wytłumaczyć co mogą zrobić. Jak rozpoznać te popularne oraz jak przywrócić dane napiszemy poniżej.

Instrukcja jak korzystać z dekryptorów

Spis Treści
Zwiń
Rozwiń

Trojan-Ransom.Win32.*

Wszystkie pliki szyfrowane są w określony sposób, który polega na zmianie ich typu rozszerzenia oraz czasem nazwy. Jeśli któryś z szablonów pasuje do waszych plików to znaczy, że padliście jego ofiarą.

locked-„pierwotna_nazwa”.”cztery_przypadkowe_znaki”

na końcu nazwy pliku zostanie dodana etykietka: {CRYPTENDBLACKDC}

„pierwotna_nazwa”@”serwer pocztowy”_.”zmienna_ilość_przypadkowych_znaków”

„pierwotna_nazwa”.crypt

Aby poradzić sobie z takim przypadkiem należy ściągnąć oprogramowanie RannohDecryptor. Uruchomcie je i postępujcie zgodnie z instrukcjami.

Okno opcji RannohDecryptora.

Po kliknięciu w Change parameters możemy zmienić opcję skanu.

Po kliknięciu w Change parameters można zadecydować czy usunąć od razu zaszyfrowane pliki po ich pomyślnym odszyfrowaniu oraz jakie dyski mają być sprawdzane. Po kliknięciu w Start Scan musicie podać ścieżkę do zaszyfrowanych plików. Na koniec pracy dostaniecie także raport podsumowujący zakres działań. Plik raportu będzie nazywał się według szablonu: NazwaNarzędzia.Wersja_Data_Czas_log.txt. W przypadku, gdy program natrafi na większy opór poinformuje o tym stosownym oknem:

Informacja o pracy RannohDecryptora.

Otrzymamy komunikat o możliwej długiej pracy programu i prośbę o niewyłączanie komputera.

Jeśli działania te nie pomogły należy spróbować także kolejnych dwóch programów: XoristDecryptor oraz RectorDecryptor. Oba działają identycznie jak RannohDecryptor.

CoinVault, Bitcryptor, CryptXXX

Wszystkie trzy programy szyfrują dysk i zostawiają po sobie dodatkowe rozszerzenie na końcu pliku .crypt.  Dodatkowo okno żądające okupu będzie podpisane nazwą któregoś z wymienionych. Do ich zwalczania stworzono dwa programy, które znajdziecie tutaj. Po ściągnięciu należy je zainstalować (zacznijcie od jednego i jak nie pomoże ściągnijcie drugi) i uruchomić skanowanie, które powinno odnaleźć zainfekowane pliki i poradzić sobie z nimi. Program CoinVaultDecryptor działa identycznie do poprzednich:

CoinVaultDecryptor - kolejny dekryptor

CoinVaultDecryptor to program działający analogicznie do poprzedniego.

Drugim programem jest RakhniDecryptor i również działa identycznie.

TeslaCrypt

Jego twórcy zawiesili rozwój oraz udostępnili uniwersalny klucz do wszystkich instancji oprogramowania. TeslaCrypt atakuje głównie pliki danych popularnych gier takich jak: seria Call of Duty , World of Warcraft, Minecraft czy World of Tanks. Celami są zapisy stanu gry, konta graczy albo mody. Darmowy program do pozbycia się TeslaCrypt znajdziecie tutaj. Po ściągnięciu go należy uruchomić Wiersz poleceń systemu Windows z uprawnieniami administratora:

Otwieramy wiersz poleceń

Otwieramy wiersz poleceń w trybie administratora, tak by móc uruchomić wszystkie niezbędne narzędzia.

Następnie przenieść się do katalogu, gdzie został zapisany plik, domyślnie Pobrane, wpisując dokładnie te komendy, każdą zatwierdzając osobno Enterem:

Wykonujemy kolejne komendy

W wierszu poleceń należy zrealizować kolejne komendy potwierdzając każdą Enterem.

Ścieżki dostępu programu i celu

Z lokalizacji programu (czerwony) rozpoczynamy skan na skażonym folderze (niebieski).

W przypadku, gdy weszliśmy do złego folderu komendą cd.. powracamy do poprzedniego – nadrzędnego katalogu. Na czerwono zaznaczyliśmy folder gdzie znajduje się dekryptor. Na niebiesko folder z zaszyfrowanymi plikami. Po wpisaniu ostatniej komendy jeśli wszystko poszło dobrze pojawi się taki ekran:

Zakończenie skanu Tesla dekryptora

Po zakończonej pracy otrzymamy komunikat o pomyślnych działaniach.

Locker v.*

To kolejny z ransomware, którego twórcy zawiesili działalność i udostępnili informacje niezbędne do stworzenia dekryptora. Aby rozpoznać, że to właśnie Locker zaatakował komputer to obrazek kłódki z logiem BitCoinów w oknie żądania okupu. Program do odszyfrowania danych jest do ściągnięcia tutaj.

Pozwala on na wygenerowanie hasła odszyfrowującego:

Generujemy kod deszyfrujący

Za pomocą Lockera wygenerujemy kod deszyfrujący nasze pliki.

Nie jest on doskonały. Na przykład jeśli zacznie działać na niezainfekowanych plikach jest duża szansa na to, że je uszkodzi. Dlatego należy skopiować zainfekowane pliki do osobnego folderu przed całą operacją. Po zakończonej pracy może on automatycznie usunąć zaszyfrowane pliki, ale jako, że program wciąż jest w wersji rozwojowej lepiej nie aktywować tej opcji. Można także otrzymać raport o przeprowadzonych działaniach.

Mamy nadzieję, że dzięki tym wskazówką będziecie w stanie pomóc swoim klientom.

Chcesz zacząć sprzedawać AVG?

Szukasz ekstra rabatów dla resellera? Skontaktuj się z nami, a skontaktujemy się z Tobą z unikalną ofertą dla resellera!

Przedsiębiorstwo Informatyczne CORE

Producent, importer i reseller oprogramowania, wydawca serwisów internetowych. Działa od 2001 roku. Oficjalny dystrybutor AVG. Programy rozprowadzane są przez siatkę ponad 1300 resellerów na terenie całej Polski, zapewniona jest pełna polska pomoc techniczna oraz wsparcie handlowe i marketingowe.

Zostaw wiadomość


The reCAPTCHA verification period has expired. Please reload the page.